[ARD Morgenmagazin-Nachrichten] Apple warnt vor gravierenden Sicherheitslücken

[Bozol]

(@Mods: bitte bei Bedarf verschieben)

Laut den Nachrichten warnt Apple davor das Hacker ev. Macs, iPhones und iPads unter ihre Kontrolle bringen könnten, betroffen sind aktuelle Modelle sowie ältere Geräte ab iPhone 6 und iPad 5th Gen.

Es wird dazu geraten die Software zu aktualisieren.

Soweit für uns nichts Neues, aber: dass das Ganze in den Nachrichten kommt war ist mir so nicht bekannt. Ob da noch mehr dahinter steckt?

Was meint ihr?

 

[Difool]

Soweit gibt es seit gestern ein Update für Safari:

About the security content of Safari 15.6.1
https://support.apple.com/en-us/HT213414

Verfügbar für: macOS Big Sur und macOS Catalina

Auswirkungen:
Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von beliebigem Code führen.
Apple ist ein Bericht bekannt, dass dieses Problem möglicherweise aktiv ausgenutzt wurde.

Beschreibung: Ein Out-of-Bounds-Write-Problem wurde mit verbesserter Bound-Checking-Funktion behoben.

Apple Sicherheits-Updates:
https://support.apple.com/de-de/HT201222

 

[Stargate]

Laut den Nachrichten warnt Apple davor das Hacker ev. Macs, iPhones und iPads unter ihre Kontrolle bringen könnten, betroffen sind aktuelle Modelle sowie ältere Geräte ab iPhone 6 und iPad 5th Gen.

"Könnten"..?

Der Konzern mit den Weltbesten und sichersten Geräten mit den besten Betriebssystemen schiebt Probleme jahrelang vor sich her.
https://www.heise.de/news/VPN-auf-dem-iPhone-Sicherheitsforscher-warnt-vor-moeglichen-Datenlecks-7235446.html

Es wird dazu geraten die Software zu aktualisieren.

Und dann wird es viel besser..
Nur ein glorreiches Beispiel mehr dafür wie selbst neueste Betriebssysteme zu bewerten sind.

Soweit für uns nichts Neues, aber: dass das Ganze in den Nachrichten kommt war ist mir so nicht bekannt. Ob da noch mehr dahinter steckt?

In der Hauptsache steckt da vermutlich das Medien-Sommerloch dahinter.
Ansonsten ist der ARD Apple genau so wichtig wie ein Stromausfall.

Ich hätte die Lindenstraße noch mal von vorne laufen lassen.. :->
(Aber nur damit GEZ-Beiträge auch eine Berechtigung haben und nicht für irgendwelche Intendanten als Bonus verheizt werden)

 

[DrHook]

Bin ich ebenfalls bei tagesschau.de drüber gestolpert und mich gefragt, ob zu anderen Gelegenheiten auch schon darüber berichtet wurde.

 

[maba_de]

Bin ich ebenfalls bei tagesschau.de drüber gestolpert und mich gefragt, ob zu anderen Gelegenheiten auch schon darüber berichtet wurde.

selten, aber ja, das kam schon vor.
In diesem Fall waren die Sicherheitslücken wohl sehr kritisch und wurden ausgenutzt und deshalb berichten auch die Medien.
Ist doch gut, wenn das so gemacht wird, nicht jeder liest die gängigen IT News Ticker.

 

[Lor-Olli]

nicht jeder liest die gängigen IT News Ticker.

Und mittlerweile gibt es auch bei den Apple-Usern nicht wenige, die sich mit der Aktualisierung der Software nicht, oder kaum mehr befassen. Nach dem Motto: läuft doch…

Ob sich an so einer Haltung durch eine Tagesschaumeldung etwas ändert, wage ich zu bezweifeln, sehr viele, gerade Jüngere schauen überhaupt kein TV mehr und so etwas "langweiliges" wie die Tagesschau schon gar nicht! Man muss festhalten, dass Hacker schon immer die Ignoranz oder Dummheit von Usern ausgenutzt haben. Kritisch wird es, wenn man auch mit Hirn und Sorgfalt sich gegen bestimmte Angriffe nicht wehren kann! (Dann ist auch eine Warnmeldung in der Tagesschau sinnvoll…)

 

[Difool]

selten, aber ja, das kam schon vor.
In diesem Fall waren die Sicherheitslücken wohl sehr kritisch und wurden ausgenutzt und deshalb berichten auch die Medien.
Ist doch gut, wenn das so gemacht wird, nicht jeder liest die gängigen IT News Ticker.

Denke auch so.
Apple schweigt je eher betreffs genaue Angaben, um mögliches Ausnutzen von "Zero-Day" nicht zu supporten.
Die meisten Browser hatten seit diesem Jahr damit zu kämpfen; ist eine Art "Cache-/Speicher-Lücke".
Von Microsoft, Chrome, Mozilla und Apple – alle haben dafür Patches und Updates geliefert in diesem Jahr.

edit:
Soweit ich las, war es möglich via Schadcode oder CrossSiteScripting auf die aktuellen Tabs in den Browsern Einsicht zu erlangen.
Und bei der aktuellen Lage, wäre es wohl möglich darüber weiteren Schadcode ins System zu bekommen bzw. dort ausführen zu können.

 

[kermitd]

Und mittlerweile gibt es auch bei den Apple-Usern nicht wenige, die sich mit der Aktualisierung der Software nicht, oder kaum mehr befassen. Nach dem Motto: läuft doch…

Ob sich an so einer Haltung durch eine Tagesschaumeldung etwas ändert, wage ich zu bezweifeln, sehr viele, gerade Jüngere schauen überhaupt kein TV mehr und so etwas "langweiliges" wie die Tagesschau schon gar nicht! Man muss festhalten, dass Hacker schon immer die Ignoranz oder Dummheit von Usern ausgenutzt haben. Kritisch wird es, wenn man auch mit Hirn und Sorgfalt sich gegen bestimmte Angriffe nicht wehren kann! (Dann ist auch eine Warnmeldung in der Tagesschau sinnvoll…)

? Dank automatischer Updates müssen sich zum Glück die meisten damit auch nicht mehr befassen. Nicht ohne Grund geht Microsoft da mittlerweile ja noch rabiater vor und lässt Nutzern kaum mehr eine Wahl.

 

[wegus]

? Dank automatischer Updates müssen sich zum Glück die meisten damit auch nicht mehr befassen. Nicht ohne Grund geht Microsoft da mittlerweile ja noch rabiater vor und lässt Nutzern kaum mehr eine Wahl.

Und gerade für die weiter verbreiteten MS Produkte kam bei dünner Nachrichtenlage oder bei vermeintlich großer Gefährdung auch schon ein Hinweis in den öffentlich Rechtlichen auf Updates. Finde ich auch grundsätzlich richtig so und ja die tun das nur, wenn die den Eindruck einer massiven Gefährdung haben. Es ist doch zu begrüßen, dass das auch für Apple Produkte kommuniziert wird!

 

[Lor-Olli]

? Dank automatischer Updates müssen sich zum Glück die meisten damit auch nicht mehr befassen. Nicht ohne Grund geht Microsoft da mittlerweile ja noch rabiater vor und lässt Nutzern kaum mehr eine Wahl.

Ist für die genannten User vielleicht auch die einzige Möglichkeit "geschützt" zu werden, im Fall der erfahreneren und technisch versierten User ist es allerdings auch eine Bevormundung: ICH möchte beurteilen können, ob dieses Sicherheitsupdate nicht mein Setup gefährdet, oder ich Teile benötigter Funktionen oder Software nicht mehr nutzen kann!

Es gibt immer wieder Sicherheitsprobleme, solange es Menschen mit genug krimineller Energie und ausreichendem Wissen gibt, wird sich das nicht ändern. Schwierig wird es, wenn ein OS oder iOS (um genau diesen Fall zu nennen) bestimmte Sicherheitsfunktionen selbst sabotiert! Sprich Apple's iOS übermittelt TROTZ eines VPN Tunnels z.B. die IP im Klartext, und zwar nicht nur an Apple, sondern auch an Google (bei bestehendem gmail account)

 

[maba_de]

Die meisten Browser hatten seit diesem Jahr damit zu kämpfen; ist eine Art "Cache-/Speicher-Lücke".
Von Microsoft, Chrome, Mozilla und Apple – alle haben dafür Patches und Updates geliefert in diesem Jahr.

und hier sieht man mal wieder das Problem von iOS - es gibt keine modularen Updates der einzelnen Programme wie Safari etc..
Gerade bei Browsern, die häufig Einfallstor Nummer 1 sind und entsprechend schnell gefixt werden sollten ist das ungünstig - um es freundlich auszudrücken.
Apple muss immer eine komplette Systemaktualisierung rausbringen. Es wird dringend Zeit, dass Apple das ändert, allein schon, um dringende Sicherheitsupdates (und neue Funktionen) schneller ausrollen zu können.

Sprich Apple's iOS übermittelt TROTZ eines VPN Tunnels z.B. die IP im Klartext, und zwar nicht nur an Apple, sondern auch an Google (bei bestehendem gmail account)

das ist ja nicht mal das einzige Problem.
Trotz aktivem VPN wird fleissig weiter Traffic unverschlüsselt gesendet:

Daten verlassen das iOS-Gerät außerhalb des VPN-Tunnels, betont Horowitz, VPN-Apps seien dadurch "in iOS kaputt". Er habe Apple schon im Mai über das Problem informiert, so der Sicherheitsforscher, aber auch nach Wochen keine konkrete Antwort erhalten – weder eine Bestätigung oder Zurückweisung des beobachteten Verhaltens noch eine Ankündigung für eine Nachbesserung.

Quelle: https://www.heise.de/news/VPN-auf-d...-warnt-vor-moeglichen-Datenlecks-7235446.html

Wenn es "nur" die IP Adresse wäre, aber da werden ja Daten gesendet am VPN Tunnel vorbei.

 

[Nicolas1965]

Moin in die Runde,

war heute früh über den Beitrag in der iOS-Tagesschau-App auch etwas überrascht.

Bei iOS bin ich eigentlich gut dabei.
Bei macOS12 bin ich ob der Meldungen zu 12.5 und 12.5.1 etwas zurückhaltend hinsichtlich Installation.

Gibt es genauere Angaben ab welchem Softwarestand man soweit safe ist? Oder gilt generell "latest"?

 

[BalthasarBux]

Oder gilt generell "latest"?

ja

 

[Lor-Olli]

…Oder gilt generell "latest"?

Speziell für diesen Fall wird ja 12.5.1 nachgeschoben, weil 12.5 ein Problem hat. Läuft übrigens ohne irgendwelche Probleme oder Nachteile.

 

[dylan51]

? Dank automatischer Updates müssen sich zum Glück die meisten damit auch nicht mehr befassen.

Ist für die genannten User vielleicht auch die einzige Möglichkeit "geschützt" zu werden, im Fall der erfahreneren und technisch versierten User ist es allerdings auch eine Bevormundung: ICH möchte beurteilen können, ob dieses Sicherheitsupdate nicht mein Setup gefährdet, oder ich Teile benötigter Funktionen oder Software nicht mehr nutzen kann!

und hier sieht man mal wieder das Problem von iOS - es gibt keine modularen Updates der einzelnen Programme wie Safari etc..
Gerade bei Browsern, die häufig Einfallstor Nummer 1 sind und entsprechend schnell gefixt werden sollten ist das ungünstig - um es freundlich auszudrücken.
Apple muss immer eine komplette Systemaktualisierung rausbringen. Es wird dringend Zeit, dass Apple das ändert, allein schon, um dringende Sicherheitsupdates (und neue Funktionen) schneller ausrollen zu können.

Automatische Updates sind in der rigorosen Form, die Apple verfolgt, tatsächlich eine Bevormundung. Lor-Olli und maba_de mit den modularen Updates haben da die Finger in die wichtigen Wunden gelegt.

(Aber nur damit GEZ-Beiträge auch eine Berechtigung haben und nicht für irgendwelche Intendanten als Bonus verheizt werden)

Die verweigerten Boni haben mir den Tag gerettet

 

[tuedel125]

Soweit gibt es seit gestern ein Update für Safari:

About the security content of Safari 15.6.1
https://support.apple.com/en-us/HT213414



Apple Sicherheits-Updates:
https://support.apple.com/de-de/HT201222

Hi,

leider ist da nirgendwo ein Download.
Habe hier ein aktuelles Catalina am laufen und es wird kein Softwareupdate angezeigt. Auch Softwareupdate -l sagt: Nichts gefunden.

 

[ihatewintel]

Ich bin noch mit macOS 14.6 (Mojave) unterwegs.
Gibt's da irgendeine Chance, das Sicherheitsleck zu stopfen?

 

[MiketheBird]

Da die Lücken als "active exploits", also bereits genutzte Einfallstore klassifiziert sind, ist eine allgemeine Warnung in den Nachrichten vielleicht nicht ganz so doof. Hat mal jemand einen Deep Link welche Pakete das betrifft, so dass man mal nachschauen könnte ob sich bei einem was tut?

 

[Stargate]

Sprich Apple's iOS übermittelt TROTZ eines VPN Tunnels z.B. die IP im Klartext, und zwar nicht nur an Apple, sondern auch an Google (bei bestehendem gmail account)

Genau.
Und dann läuft plötzlich so ein ganzer IP Block, der eigentlich Apple gehört, über irgend einen obskuren Server in Russland.
Ist erst wenige Tage her.

 

[Nicolas1965]

Speziell für diesen Fall wird ja 12.5.1 nachgeschoben, weil 12.5 ein Problem hat.

ja

Danke für Euer Feedback.

Läuft übrigens ohne irgendwelche Probleme oder Nachteile.

Hatte da in dem entsprechenden Faden über Probleme mit verlorenen Druckern gelesen.
Aber bisher haben auch die letzten Upgrades des OS eigentlich immer soweit funktioniert.